Digest access authentication: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
template citazione; rinomina/fix nomi parametri; converto template cite xxx -> cita xxx; fix formato data; elimino parametri vuoti; Corretti parametri ref duplicati |
m Bot: sintassi dei link e modifiche minori |
||
Riga 37:
== L'impatto della sicurezza di MD5 sul digest access authentication ==
I calcoli [[MD5]] usati nel digest authentication HTTP sono usati a "[[Funzione unidirezionale|una via]]", è difficile determinare l'input originale conoscendo l'output. Se però la password è troppo semplice, è possibile provare tutti gli input possibili e trovare un output abbinato (un [[Metodo forza bruta|brute-force attack]])-possibilmente con l'aiuto di un [[Attacco a dizionario|dizionario]] o una [[
Lo schema HTTP è stato ideato da Phillip Hallam-Baker al [[CERN]] nel 1993 e non include miglioramenti successivi nei sistemi d'autenticazione, quali ad esempio lo sviluppo di keyed-hash message authentication code([[HMAC]]). Sebbene il costrutto crittografico usato si basa sulla funzione hash MD5, nel 2004 si pensava che le [[Collisione hash|collisioni hash]] non influenzassero le applicazioni dove il plaintext (es. password) non era conosciuto<ref name="CryptoRes-2004">{{Cita web|titolo= Hash Collision Q&A
|url= http://www.cryptography.com/cnews/hash.html
|data= 16 febbraio 2005
|editore= <ref>[[
|urlarchivio= https://web.archive.org/web/20100306180648/http://www.cryptography.com/cnews/hash.html
|dataarchivio= 6 marzo 2010
}}</ref>. Tuttavia affermazioni nel 2006<ref>{{Cita web|url= https://eprint.iacr.org/2006/187.pdf
|titolo= On the Security of HMAC and NMAC Based on HAVAL, MD4, MD5, SHA-0 and SHA-1
|autore1=Jongsung Kim |autore2=Alex Biryukov |autore3=Bart Preneel |autore4=Seokhie Hong |editore= <ref>[[
}}</ref> hanno causato dubbi per alcune applicazioni di MD5. Finora, peró, attachi di collisione alla MD5 non si sono dimostrati di essere una minaccia per digest authentication e RFC 2617 permette ai server di implementare meccanismi mirati a individuare alcuni attacchi di collisione e [[
== Considerazioni sull'autenticazione HTTP digest ==
Riga 93:
Alcuni protocolli di autenticazione robusti per applicazioni web-based:
*Autenticazione [[chiave pubblica|Public key]] usando un certificato client (solitamente usato con [[HTTPS]]/[[SSL]] [[Certificato digitale|client certificate]]).
*Autenticazione [[Protocollo Kerberos|Kerberos]] o <ref>[[
*<ref>[[
L'approccio più comune è nell'uso del protocollo <ref>[[
Questi protocolli cleartext meno robusti usati insieme alla criptazione di rete HTTPS sono una soluzione per molte minaccie per cui digest access authentication è stato progettato. Però questo uso di HTTPS conta sul fatto che il client validi l'URL al quale sta accedendo per non mandare la password ad un server non affidabile, che potrebbe risultare in un attacco Phishing. L'utente, però, spesso non lo fa, perciò il [[phishing]] è diventato la falla nella sicurezza più comune.▼
▲Questi
== Esempio ==
Line 201 ⟶ 200:
== Il file .htdigest ==
.htdigest è un [[flat file]] usato per la memorizzazione degli username, realm e password per la digest authentication gli [[Apache HTTP Server]]. Il nome del file è passato alla configurazione <ref>[[
Il commando "htdigest" si trova nel package '''apache2-utils''' contenuto nei sistemi [[dpkg]] e in '''httpd-tools''' contenuto nei sistemi [[RPM Package Manager]].
Line 231 ⟶ 230:
** [[Netscape Navigator|Netscape 7+]]
* [[ICab|iCab 3.0.3+]]
* Basati su [[KHTML]]- e [[WebKit]]: (non includono auth-int<ref>{{Cita web|url=https://secure.vsecurity.com/download/papers/HTTPDigestIntegrity.pdf
|titolo=HTTP Digest Integrity: Another look, in light of recent attacks
|autore=Timothy D. Morgan
Line 255 ⟶ 254:
** [[Opera Mobile]]
** [[Opera Mini]]
** <ref>[[
** [[Nokia 770]] Browser
** <ref>[[
** <ref>[[
== Note ==
{{Reflist|group=note}}
| |||